Avaya VPN 电话的 Cisco ASA ipsec IKEv1 远程访问 - 未分配客户端地址
我的 ASA 集群上的远程访问 VPN 连接有一个奇怪的问题。
正常的站点到站点隧道和 AnyConnect 连接工作正常。但是,特殊的 ipsec ikev1 隧道没有。它建立并保持正常运行,但客户端(在本例中为 Avaya VPN 电话)既没有收到客户端地址,也没有要求提供地址(有点不确定该怪谁)。
此图显示了连接建立时的连接。请注意,分配的 IP 地址为空。字节 TX 为“0”是很自然的,因为内部网络没有客户端可路由。
我尝试通过 ASDM 调试它,但没有运气。我对 CLI 没有足够的信心进行控制台调试,因为我们大量使用“通知”关键字来匹配我们拥有的每个 ACL。
建议?
这需要一些工作才能弄清楚..
首先 - 客户端(或准确地说是电话)没有获得 IP 地址的原因是电话配置错误。它没有设置“配置 IKE”标志,这意味着它基本上丢弃了从 ASA 推送的任何配置。
当我解决这个问题时,另一个主要问题出现了。事实证明,我们的 AnyConnect 客户端根本不起作用。我们最近升级到 ASA 8.4.4 以尝试解决另一个问题,此版本针对 NAT 规则引入了新的规则检查器,以便它们不会与备用 IP 地址冲突:
http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml
这对我们来说是一个主要的障碍,因为我们在大型 MPLS 网络中的防火墙后面有无数个子网,VPN 客户端需要连接。创建新的主机/网络组只是为了不与备用 IP 发生冲突对我来说至少需要两天的工作,所以我将降级到 ASA 8.4.3,直到 Cisco 找到更好的解决方案。
| 归档时间: |
|
| 查看次数: |
1575 次 |
| 最近记录: |